在15年前幾家公司[比如安然(Enron)公司和世通公司(WorldCom)]爆出了眾所周知的丑聞之后,,在2002年通過了“薩班斯 - 奧克斯利法案”,該法案要求各個組織必須遵守數據安全、財務責任和消費者隱私法規(guī),并且必須有專人來確保內部流程正確地執(zhí)行。這就使治理、風險和合規(guī)(GRC)專業(yè)人士受到各公司歡迎。
一般來說,GRC工作的目標是確保正確的政策和控制措施執(zhí)行到位以降低風險,建立一種制衡制度,以便在新風險出現時提醒相關人員,并更有效和積極地管理業(yè)務流程。擁有GRC認證的專業(yè)人員必須同時兼顧利益相關者的期望和業(yè)務目標,并確保實現組織目標,同時滿足合規(guī)性要求。這是一個令人難以置信的職責,但在當今的商業(yè)環(huán)境中絕對有必要。
許多職位都要求擁有或受益于GRC認證,包括首席信息官、IT安全分析師、安全工程師或架構師、信息保障項目經理和資深IT審計師等。
請繼續(xù)閱讀,了解在GRC各種認證中排名前六位的認證。
風險和信息系統監(jiān)控認證(CRISC)
最受認證考生和企業(yè)歡迎的GRC認證之一是由信息系統審計與控制協會(ISACA)頒發(fā)的CRISC認證,該認證表明持有認證的IT專業(yè)人員能夠負責管理IT和企業(yè)風險工作,并確保達成風險管理目標。CRISC人員經常要參與并監(jiān)督信息系統(IS)控制措施的設計、實施和維護工作,這些工作旨在確保系統安全和管理風險。自2010年以來,ISACA已頒發(fā)了超過20,000份CRISC證書,這一數量在GRC認證領域中是相對較高的。
要想獲取CRISC認證,您必須通過一個考試,該考試內容涵蓋四個領域:IT風險識別(第一領域)、IT風險評估(第二領域)、風險應對和緩解(第三領域)以及風險和控制監(jiān)控與報告(第四領域 )。該考試包含150個問題,考試時長為4個小時,費用為575美元(ISACA會員價格)或760美元(非會員價格)。
此外,您必須證明具有至少累計三年的IT風險和信息系統的工作經驗,并且該工作與四個領域中的至少兩個領域相關,遵守ISACA職業(yè)道德準則,并遵守CRISC持續(xù)教育政策。
企業(yè)IT治理認證(CGEIT)
由ISACA頒發(fā)的CGEIT認證表明了IT專業(yè)人員對企業(yè)IT治理原則和實踐具備深入了解,以及具有通過治理和風險優(yōu)化措施來提高組織價值的能力,并使IT與業(yè)務戰(zhàn)略和目標保持一致。自從該認證開始以來,已有7,000多人通過ISACA機構獲得了CGEIT認證證書。
要想獲得CGEIT證書,您需要通過一個考試(包含150個問題,考試時長為4個小時),涵蓋五個領域:企業(yè)IT治理框架(第一領域)、戰(zhàn)略管理(第二領域)、利益實現(第三領域)、風險優(yōu)化(第四領域)和資源優(yōu)化(第五領域)??荚囐M用為525美元(ISACA會員價格),或者為760美元(非ISACA會員價格)。
參加CGEIT考試需具備至少累計五年的IT企業(yè)治理的工作經驗,包括至少一年的制定、實施和管理治理框架工作經驗。參加認證的考生還必須遵守ISACA職業(yè)道德準則,并遵守CGEIT持續(xù)教育政策。
項目管理協會 - 風險管理專業(yè)人員(PMI-RMP)
任何想考取項目管理認證的考生都會熟悉項目管理協會(PMI),有些人是通過科研渠道了解的,有些人是通過考取夢寐以求的項目管理專業(yè)(PMP)證書來了解的。然而,PMI還提供風險管理專業(yè)人士(PMI-RMP)認證,以及其他幾種認證,主要側重于業(yè)務管理、業(yè)務分析、敏捷和調度等方面。
PMI-RMP認證表明該IT專業(yè)人員參與過大型項目或具有在復雜環(huán)境下工作的經驗,能夠評估和識別基于項目的風險。他們也有能力設計和實施緩解系統漏洞、自然災害等風險的計劃。
PMI-RMP考試涵蓋五個知識領域:風險戰(zhàn)略與規(guī)劃(第一領域)、利益相關者參與(第二領域)、風險流程促進(第三領域)、風險監(jiān)控和報告(第四領域)和執(zhí)行專業(yè)風險分析(第五領域)。考試包含170個多項選擇題,考試時長3.5小時,費用為520美元(PMI會員價格)或670美元(非PMI會員價格)。
您還必須符合相關工作經驗和學歷要求。第一個要求是擁有二級學歷(高中畢業(yè)文憑、大專文憑或各國同等學歷),至少具有4500小時的項目風險管理經驗和40小時的項目風險管理培訓。第二個要求是擁有四年制學歷(本科學位或各國同等學歷),具有至少3,000小時的項目風險管理經驗和30小時的項目風險管理培訓。
ITIL專家認證
信息技術基礎設施庫(ITIL)的認證與ITIL框架有關,該框架描述了設計、實施和管理各種IT服務項目的最優(yōu)方法。按照ITIL的說法,認證被稱為“資格證書”,它建立了一種典型的認證途徑,從基礎級的“ITIL基礎認證”開始,最終成為最高級的“ITIL大師級認證”。在大師級之下的一級是廣受歡迎的“ITIL專家級認證”。
具有“ITIL專家級認證”資格的專業(yè)人士對ITIL服務最優(yōu)方法有著深入的了解,因為他們可以在IT環(huán)境各個領域中工作,而不僅限于一個服務領域。換句話說,這位專家能夠通過跨越多個服務生命周期階段來服務于一個組織,可將整體情況視為各個部分的總和。
要想獲取“ITIL專家級認證”資格,您必須首先獲得“ITIL基礎級證書”或同等的Bridge資格,然后在每個ITIL學分系統中獲得至少17個學分。最后,參加一個經過認可的培訓課程,然后通過“生命周期管理”(MALC)考試。培訓費用因提供單位不同而異,但預計費用在1800美元(在線培訓)至5,000美元(教室內培訓)之間,含培訓費和考試費。
風險管理確認專業(yè)資格(CRMA)
國際內部審計師協會(IIA)是一家全球性的專業(yè)協會,為企業(yè)、政府和金融服務行業(yè)的審計師提供信息、交流機會和教育服務。IIA協會提供的認證之一是CRMA,該認證表明證書持有人具備風險管理及保證、治理、質量保證和控制自我評估的工作經驗。CRMA人員被認為是大型組織高級管理層和審計委員會成員值得信賴的顧問。
要想獲得CRMA證書需要通過一個認證考試(Pearson VUE),該考試題目為多項選擇題(有100個問題,考試時長為2個小時)??荚囐M用為380美元(IIA會員價格),或者為495美元(IIA非會員價格)。
此外,您必須擁有三年制或四年制大專學歷(或更高)。作為本科學歷的替代方案,您需要具備兩年的??平逃臀迥甑膬炔繉徲嫿涷?或相關工作經驗)或七年的內部審計經驗。IIA協會還需要您證明至少具有兩年在風險管理或質量保證方面的審計經驗或與控制相關的工作經驗。最后,您需要提供由IIA證書持有人或主管領導簽名的品德證明書,提供身份證明,并同意遵守IIA協會制定的“道德準則”。
GRC專業(yè)人員(GRCP)
開放遵循和道德小組(OCEG)是一個以會員為導向的全球性組織,致力于向其成員和更大的團體提供治理、風險管理和合規(guī)(GRC)的相關信息、教育和認證服務。在其認證項目中只有少數幾個備受認可的認證,GRCP就是一個極為實用的證書,其針對很多行業(yè)和實務操作。
該一次性考試涵蓋基本術語和概念、GRC原則、核心組件和實務,以及GRC與其他學科的關系。GRCP認證是獲得更高級GRC審核認證的必備認證。該考試包含100個問題,考試時長為2個小時。OCEG提供395美元(自動續(xù)約)或495美元(不續(xù)約)的通用通行證(All Access Pass),該通行證為您提供準備和參加考試所需的一切服務,包括所有現場和存檔的網絡研討會、OCEG標準、指南和資源、在線學習計劃和考試。
GRC社區(qū)的資源
在網絡上的興趣社區(qū)中積累了很多資源和聚集了一些長期的GRC專業(yè)人士,有些資源可能對考取GRC認證有用。以下是幾個需要添加到您GRC工具包中的網站:
• ComplianceWeek:該網站是GRC社區(qū)中一個極好的資源。您可以在此找到新聞文章、白皮書、GRC報告、會議資料、工作機會等等。該網站還提供(在大多數時間)免費一個小時的網絡廣播,每次大型活動后都根據需要提供網絡廣播,許多人都有資格獲得持續(xù)專業(yè)教育(CPE)學分。
• GRC藍皮書:該網站宣稱其為“在線GRC知識庫”,您會發(fā)現一些GRC工具、新聞文章、風險實踐、行業(yè)活動等等獲得很好的評價。
• CareersInfoSecurity:正如網站名稱的含義,您會找到一個工作版塊。但CareersInfoSecurity網站內容遠遠超出了培訓書庫、新聞和其他針對信息安全、風險管理以及隱私和防欺詐專業(yè)人士的范疇。使用該網站的搜索工具,輸入“grc”,您可以精確地找到相關資源。
• 安全管理:該網站由美國產業(yè)安全學會(ASIS International)免費提供在線雜志,其涵蓋不同類型的安全內容:國家層面、物理層面、網絡和戰(zhàn)略層面。您會在“戰(zhàn)略安全”版塊找到企業(yè)風險管理文章,以及訪問播客和參加網絡研討會。
• LinkedIn:在該網站您可以輸入“grc group”進行搜索,并選擇一些您最感興趣的人,然后與他們建立聯系。有一個不錯的群叫做治理、風險與合規(guī)(grc)。這些GRC專家已通過了認證程序,并愿意為您提出的認證相關問題提供建議或見解。LinkedIn網站也有一個工作版塊,它已成為最好的版塊之一。